用于分发美杜莎恶意软件的 Android FluBot 基础设施

安全研究人员警告说，臭名昭著的 Android FluBot 恶意软件的已建立基础设施正被用于分发名为“Medusa”的恶意负载。

荷兰移动安全公司 ThreatFabric 的一个团队最近透露，不良行为者正在使用 FluBot 现有的网络钓鱼短信基础设施传播一种名为 Medusa 的新型 Android 恶意软件。传播 Medusa 的运动与传播FluBot的持续尝试同时进行。

FluBot - 老狗，新技巧

FluBot 最常见的分发方式是网络钓鱼，但使用的是 SMS 而不是电子邮件，因为该恶意软件针对的是 Android 移动用户。 SMS 消息使用了一个简单的诱饵——让用户点击一个包含在虚假“您错过了快递”通知消息中的链接。

FluBot 具有一系列可怕的功能，从将受害设备变成机器人并将其添加到现有的僵尸设备网络，到从受感染设备窃取银行信息和各种登录凭据。部署后，FluBot 恶意软件还会向原始受害者手机上的所有联系人发送虚假恶意短信，以进一步更快地传播感染。

ThreatFabric 发现，Medusa 使用与 FluBot 相同的应用程序和程序包名称进行分发，并且在已建立且经过测试的交付基础设施中安顿下来，新的恶意软件可以感染大约 1,500 部收到通常虚假的“错过 DHL 交付”消息的手机。

美杜莎被发现感染了北美和欧洲的受害者，加拿大、美国和土耳其都有病例。最初，该恶意软件试图针对土耳其金融机构和组织，但后来转移到西方，针对更多的人群并因此迅速增加感染。

Medusa 和 FluBot 改进

Medusa 与 FluBot 类似，其核心是具有间谍功能的移动银行木马。该恶意软件滥用 Android 的辅助功能服务将任何文本框的值设置为恶意软件作者想要的任何字符串。这意味着包含银行转账收款人账户的界面框可以很容易地切换到黑客持有的账户，而发件人也不会更聪明。

尽管 Medusa 正在通过 FluBot 已建立的基础设施进行分发，但 FluBot 也在不断发展。最近的更新添加了允许恶意软件劫持回复以推送通知的功能。这种额外的恶意功能层可以让恶意软件阻止在受害设备上正确使用 MFA。